Проблема откатить?

просто бесшовно обновить

ну и необходимо, чтобы новая версия была способна какое-то время работать на старой схеме.

Опасно выкатывать все сразу

Обычно плохо заканчивается)

?

Есть же blue/green

blue/green?

Выкатываешь на половину инстансов новую версию, сервишь новых залогиненных там

Старая висит пока старые не отвалятся

Есть же blue/green

к базе данных это не очень применимо

выкатываешь новую весию с новым лейблом, потом изменяешь у сервиса матч лейблов

При обратной совместимости проблем не должно быть

блю\грина еще нет, только в фичах вроде

Лоадбалансер?

блю\грина еще нет, только в фичах вроде

vamp.io может подпилили уже (полгода-год назад было в планах)

лоадбалансер смотрит на сервис, а сервис можно вроде на лету подредактировать

вот пример скиптов для блю/грина https://github.com/pasientskyhosting/kubernetes-blue-green-deploy

Спасиб

Хм, может кто подсказать, если ли возможность как-то просто поднять кубы на убунте 16.04?

Хм, может кто подсказать, если ли возможность как-то просто поднять кубы на убунте 16.04?

https://github.com/kubernetes-incubator/kargo

kubeadm

или minicube

если попробовать на локалке что это такое, то миникуб

это очень быстро, но только для дев-кит

если попробовать на локалке что это такое, то миникуб

да лучше сразу с изучения ingress начинать

Миникуб уже пробовал, но как я понял, при помощи него нормальный кластер не развернуть, так, чисто потыкать

В целом, спасибо большое, попробуем

Миникуб уже пробовал, но как я понял, при помощи него нормальный кластер не развернуть, так, чисто потыкать

угу

1 мастер + миньоны -> kubeadmin

несколько мастеров -> карго

Такой тогда еще вопрос. Когда мастер падает, миньоны дохнут или просто кластер перестает работать как кластер до старта мастера?

Всмысле, может ли кластер нормально работать без мастера или будут какие-то проблемы?

Работает

https://github.com/kubernetes-incubator/kargo

кстати, я так и не понял, можно ли использовать его на своих машинах, или облако ему нужно обязательно

кстати, я так и не понял, можно ли использовать его на своих машинах, или облако ему нужно обязательно

там ансибл под капотом

да - можно

Всем привет, не так давно с k8s работаю, подскажите как лучше всего деплоить CI? - kubectl apply -f .k8s/stage —context k8s.blabla.com - kubectl rolling-update $K8S_RC_NAME —image=$PROJECT_IMAGE:$CI_BUILD_REF —namespace=stage —image-pull-policy=IfNotPresent —update-period=0s —context k8s.blabla.com Мне кажется что я какую-то ерунду сделал, но она работает норм, просто кажется что есть более элегантные решения..

Если это выкладка тестовой версии приложения, то зачем роллинг апдейт? Оно у тебя должно каждый раз с нуля создаваться, иначе есть риск некоторого разветвления историй.

image-pull-policy тоже тогда должен быть Always, иначе есть вариант тестировать предыдущие выкладки, если версия не поменялась

А кроме роллинг апдейт какие варианты? Насчет image-pull-policy - согласен, но проблем небыло, тк каждая выкладка новый тег имеет в образе

А кроме роллинг апдейт какие варианты? Насчет image-pull-policy - согласен, но проблем небыло, тк каждая выкладка новый тег имеет в образе

просто обнови версию в деплойменте - старый образ будет удален, новый создан

вот я что-то вообще все через RC сделал а не через деплоймент, вот это видимо то, что мне и нужно переделать

а разве в rc не указывается версия? по-моему должна

указывается, я ее через роллинг и меняю. Или ты имеешь ввиду, что если я просто обновлю RC - то он сам пересоздаст pod?

я вообще не понимаю для чего использовать RC, я все переделыывал на деплойменты

ну вот я тоже к этому пришел, хоть и не сразу

А кто сталкивался с настройкой Public-Key-Pins в HTTP заголовках? Побеждали как-нибудь?

темплейт ингресса поменять надо

это обычный

nginx

add_header Public-Key-Pins

это уже работает? раньше только хром умел и то с багами

если нужно что то более мощное то надо ставить openresty и в конфиге кодить на LUA

А кто-нибудь делал bacis_http_auth на сервис без nginx? Вроде же k8s умеет хранить пароли, он же делает такую авторизацию для apiserver.

А кто-нибудь делал bacis_http_auth на сервис без nginx? Вроде же k8s умеет хранить пароли, он же делает такую авторизацию для apiserver.

А какую задачу нужно решить?

Чтобы после деплоя микросервис был доступен только для команды а не для мира. Поднимать для этого vpn не подходит. В итоге вариант либо делать прослойку nginx, либо делать http auth средствами k8s если возможно

Чтобы после деплоя микросервис был доступен только для команды а не для мира. Поднимать для этого vpn не подходит. В итоге вариант либо делать прослойку nginx, либо делать http auth средствами k8s если возможно

А чем у вас сервис в интернет торчит?

Если сервис отдавать через ingress, то в ingress есть basic auth

ingress видимо то что нужно. Спасибо всем, теперь понятно куда двигаться

В принципе есть вариант запустить разработчиков в виртуальную сеть кубера, через L3 и overley сети от кубера...

У кого была практика настройки prometheus c kubernetes кластером в gke, чем лучше экспортировать метрики? prometheus крутится там же в кубере

grafana?

так она рисует графики

а метрики с ноды и подов надо чем то собрать

https://prometheus.io/docs/operating/configuration/#<gce_sd_config>

попробуй это

хотя это в бете еще , как я понял

У кого была практика настройки prometheus c kubernetes кластером в gke, чем лучше экспортировать метрики? prometheus крутится там же в кубере

метрики в кластере = невозможность их забрать в случае проблем в кластере(

да тут чет даже без проблем в кластере сложно забрать их)

в отношении локального кубернетеса как то проще, а вот в gke..

Я пробовал подключать прометей и графану штатным плагином, но в итоге остановился telegraf + prometheus + grafana

о, спс, уже больше похоже на годное решение нежели стандартный бета плагин.

я правильно понимаю, он может прям подом крутиться в кластере и собирать инфу?

прометей и графана на отдельной машине

ставил прометей на кластер то снес

я как то спрашивал недавно, спрошу еще раз

kubeadm ваще ваще сырой?

я начал ставить кубик с его помощью - возникли проблемы

и думаю, может ставить вообще без него

или пытаться продраться через глюки

не было с ним проблем ни когда

ставил прометей на кластер то снес

а кластер именно в gke?

curl http://xx.xx.xx.xx:9126/metrics | grep -i kuber | wc -l 874

Есть ещё такая штука для Prometheus https://coreos.com/blog/the-prometheus-operator.html

это когда кубернетес локальный

а в гугл клауде нет такой свободы действий с нодами

поэтому нужно что-то, что крутясь в одном из pod'ов могло собирать метрики как с хоста, так и с подов

там можно зайти по ssh на любую ноду из compute и творить,что захочется.

это придется творить после кажого апдейта кластера

хотя сейчас дочитал оператор может и из контейнера работать, возможно подойдет